NotLegit დაუცველობა Azure App Service წყაროს კოდს საჯარო ხდის

უსაფრთხოების სპეციალისტი Wiz აფრთხილებს Microsoft-ის Azure App Service-ში დაუცველობის შესახებ. დაუცველობა ავლენს ასობით წყაროს კოდის საცავს. Microsoft-მა მას შემდეგ გაასწორა გაჟონვა.

Wiz-მა აღმოაჩინა ეგრეთ წოდებული NotLegit დაუცველობა Azure App Service-ში. სერვისი, რომელიც ასევე ცნობილია როგორც Azure Web Apps, არის პლატფორმა ვებსაიტებისა და ვებ აპლიკაციების ჰოსტინგისთვის. წყაროს კოდი და არტეფაქტები შეიძლება აიტვირთოს Azure App Service-ში Local Git ინსტრუმენტის გამოყენებით. მომხმარებლებს შეუძლიათ დააყენონ Local Git საცავი Azure App Service-ის კონტეინერით და დააყენონ კოდი პირდაპირ სერვერზე.

მკვლევარების აზრით, სწორედ აქ არის დაუცველობა. როდესაც იყენებდით Local Git-ს კოდის Azure App Service-ში გასაგზავნად, git-ის საცავი შეიქმნა საჯაროდ ხელმისაწვდომი დირექტორიათ, რომელზეც ყველას შეუძლია წვდომა.

დაზარალდა რამდენიმე კოდის ენა

განსაკუთრებით დაუცველია PHP, Python, Ruby ან Node-ში დაწერილი კოდი. ეს ნაწილობრივ იმიტომ ხდება, რომ კოდის ეს ენები ხშირად იყენებენ ვებ სერვერებს, როგორიცაა Apache, Nginx და Flask. ეს ვებ სერვერები ვერ უმკლავდებიან web.config ფაილებს. ეს საშუალებას აძლევს საჯარო წვდომას წყაროს კოდის ხსენებულ საცავებზე.

ცნობილია Microsoft-ისთვის

Wiz-ის უსაფრთხოების სპეციალისტებმა უკვე აცნობეს Microsoft-ს დაუცველობის შესახებ მიმდინარე წლის ოქტომბრის დასაწყისში. მაიკროსოფტმა მას შემდეგ დახურა. ნებისმიერ შემთხვევაში, ექსპერტები მოუწოდებენ მომხმარებლებს შეამოწმონ არის თუ არა მათი საწყისი კოდი გამოვლენილი და მიიღონ ზომები მათი აპლიკაციებისთვის.